路由策略、策略路由、路由过滤、流量策略、流量过滤之间的详细对比，附带实验

在网络设备配置中，route - policy、policy - base - route、filter - policy、traffic - policy、traffic - filter 都是常用的策略工具，但它们在功能定位、作用场景、配置逻辑等方面存在差异。作为网工，理清这些差异才能精准施策，让网络按预期高效运行。今天就来深度拆解对比，帮你彻底吃透！

一、核心功能定位

（一）route - policy：路由策略

• 作用：聚焦控制平面，专门用于路由信息的精细管控。既能过滤路由（决定哪些路由能进入 / 发布），又能深度修改路由属性（如 OSPF 外部路由类型、BGP 的本地优先级、MED 值等 ）。
• 典型场景：OSPF 引入外部路由时修改路由类型（把默认的 external - type 2 改成 type 1）；BGP 选路时调整路由优先级，让特定路由更 “优先”；过滤不需要的路由，避免冗余路由占用设备资源。

（二）policy - base - route（PBR）：策略路由

• 作用：主打转发平面，强制数据包按自定义策略转发，优先级高于路由表。基于源 IP、目的 IP、端口、协议类型等多样条件，精准控制流量走向。
• 典型场景：企业多出口场景，让特定部门（如研发部）流量走带宽大的专线，普通部门走普通链路；把访问特定业务系统（如 OA 系统）的流量，强制引流到安全设备做检测。

（三）filter - policy：路由过滤 

• 作用：专注路由信息过滤，相对 “轻量”。只能过滤路由（决定是否加入路由表或对外发布），无法修改路由属性。在距离矢量协议（如 RIP）、链路状态协议（如 OSPF）、路径矢量协议（如 BGP）中，控制路由的收发。
• 典型场景：OSPF 中，拒绝某条路由加入本地路由表；BGP 中，过滤掉从邻居收到的冗余路由，减少路由表规模。

（四）traffic - policy：流量策略 

• 作用：基于 MQC（模块化 QoS 命令行），联动流分类（classifier）和流行为（behavior），实现复杂流量管控。既能过滤流量（允许 / 拒绝特定流量），也能对流量做重定向、修改优先级、限速等优化操作。
• 典型场景：企业网中，给视频会议流量标记高优先级，保障通话流畅；对 P2P 下载流量限速，避免占用过多带宽；把特定网段流量重定向到审计设备。

（五）traffic - filter：流量过滤

• 作用：简单流量访问控制，基于 ACL（访问控制列表），在接口入 / 出方向过滤流量，决定哪些数据包能通过接口。功能相对基础，主要做 “允许 / 拒绝” 操作。
• 典型场景：禁止某部门网段访问外网；在接入层交换机接口，拒绝非法 IP 的流量接入。

二、作用层级与处理对象

三、配置逻辑与规则匹配

（一）route - policy：“节点 + 匹配 + 动作” 逻辑

• 由多个node组成，节点间是 “或” 关系 （匹配一个节点就停止，不继续匹配 ）；
• 每个node内可设多个if - match条件，条件间是 “与” 关系 （需全部匹配 ）；
• 匹配后通过apply执行动作（如改路由类型、度量值 ）。
  示例（OSPF 修改外部路由类型）：

route-policy RP permit node 10 
 if-match ip-prefix external-route  // 匹配前缀列表
 apply cost-type type-1  // 改成type-1外部路由

（二）policy - base - route：“策略 + 节点 + 匹配 + 动作” 逻辑

• 包含多个node，节点间 “或” 关系 ；
• 节点内if-match条件支持 ACL、报文长度等，条件间 “与” 关系 ；
• 匹配后执行动作（如指定下一跳、出接口 ），且不匹配时走路由表（区别于 route - policy 的 “默认拒绝” ）。
  示例（让 192.168.1.0/24 网段走特定下一跳）：

policy-based-route PBR permit node 10 
 if-match acl 3000  // ACL匹配192.168.1.0/24
 apply next-hop 10.0.0.1  // 强制下一跳

（三）filter - policy：“前缀列表 / ACL + 方向” 逻辑

• 依赖前缀列表（ip - prefix）或 ACL，定义允许 / 拒绝的路由；
• 在协议视图（如 OSPF、BGP）下，指定import（入方向过滤路由接收 ）或export（出方向过滤路由发布 ）。
  示例（OSPF 拒绝 192.168.2.0/24 路由加入）：

ip ip-prefix deny-route index 10 deny 192.168.2.0 24 
ospf 1 
 filter-policy ip-prefix deny-route import 

（四）traffic - policy：“流分类 + 流行为 + 绑定” 逻辑

• 流分类（classifier）：用if - match定义流量匹配规则（如 ACL、VLAN、端口 ）；
• 流行为（behavior）：定义对匹配流量的操作（如 permit、deny、重定向 ）；
• traffic - policy：绑定流分类和流行为，在接口调用。
  示例（拒绝 P2P 流量，允许其他）：

acl number 3000 
rule 10 deny udp destination-port eq 1234  // 假设P2P端口1234
traffic classifier p2p-class 
if-match acl 3000 
traffic behavior p2p-behavior deny 
traffic policy p2p-policy 
classifier p2p-class behavior p2p-behavior 
interface GigabitEthernet 0/0/1 
 traffic-policy p2p-policy inbound 

（五）traffic - filter：“ACL + 接口方向” 逻辑

• 先配 ACL 定义流量规则（允许 / 拒绝 ）；
• 在接口入 / 出方向调用，过滤数据包。
  示例（拒绝 192.168.3.0/24 访问外网）：

acl number 2000 
rule 10 deny source 192.168.3.0 0.0.0.255 
interface GigabitEthernet 0/0/0 
 traffic-filter outbound acl 2000 

四、典型实验对比（以华为设备为例）

实验场景：企业分支网络策略管控

• 需求 1：OSPF 中，R1 引入直连路由时，用 route - policy 把 192.168.1.0/24 改成 OSPF external - type 1；
• 需求 2：让 192.168.2.0/24 网段流量，通过 policy - base - route 强制走备用链路（下一跳 10.0.0.2 ）；
• 需求 3：在 R2 的 OSPF 中，用 filter - policy 过滤掉 192.168.3.0/24 路由，不加入路由表；
• 需求 4：在出口路由器，用 traffic - policy 对视频流量（假设端口 5000）标记 DSCP 优先级，对 P2P 流量（端口 6000）限速；
• 需求 5：在接入层交换机，用 traffic - filter 拒绝访客网段（192.168.4.0/24）访问内网服务器。

核心配置片段

// route - policy配置（需求1）
ip ip - prefix ospf - route index 10 permit 192.168.1.0 24 
route - policy ospf - type permit node 10 
 if - match ip - prefix ospf - route 
 apply cost - type type - 1 
ospf 1 
 import - route direct route - policy ospf - type 

// policy - base - route配置（需求2）
acl number 3000 rule 10 permit ip source 192.168.2.0 0.0.0.255 
policy - based - route branch - route permit node 10 
 if - match acl 3000 
 apply next - hop 10.0.0.2 
interface GigabitEthernet 0/0/1 
 policy - based - route branch - route inbound 

// filter - policy配置（需求3）
ip ip - prefix deny - ospf index 10 deny 192.168.3.0 24 
ospf 2 
 filter - policy ip - prefix deny - ospf import 

// traffic - policy配置（需求4）
acl number 3001 rule 10 permit udp destination - port eq 5000 
acl number 3002 rule 10 permit udp destination - port eq 6000 
traffic classifier video - class if - match acl 3001 
traffic behavior video - behavior remark dscp ef  // 标记高优先级
traffic classifier p2p - class if - match acl 3002 
traffic behavior p2p - behavior car cir 1024 cbs 150000  // 限速1Mbps
traffic policy app - policy 
 classifier video - class behavior video - behavior 
 classifier p2p - class behavior p2p - behavior 
interface GigabitEthernet 0/0/2 
 traffic - policy app - policy inbound 

// traffic - filter配置（需求5）
acl number 2001 rule 10 deny source 192.168.4.0 0.0.0.255 
interface GigabitEthernet 0/0/3 
 traffic - filter inbound acl 2001 

五、总结：怎么选？看场景！

• 想精细改路由属性、深度控路由收发 → 选route - policy（OSPF/BGP 等协议场景）；
• 想强制流量走特定路径，优先级高于路由表 → 选policy - base - route（多出口、流量引流场景）；
• 仅需简单过滤路由（收 / 发），不改属性 → 选filter - policy（轻量化路由过滤场景）；
• 既要过滤流量，又要做优化（重定向、限速、改优先级） → 选traffic - policy（复杂流量管控场景）；
• 仅需基础流量 “允许 / 拒绝”，配置越简单越好 → 选traffic - filter（接入层、边界简单过滤场景）。